Как сообщили эксперты по безопасности из компании SecureWorks, авторам нового
вируса-троянца, получившего название Coreflood Trojan, удалось заразить сотни
тысяч компьютеров, в том числе более 14’000 компьютеров одной неназванной
международной сети отелей.

Для распространения новый троянец использует встроенную в Windows утилиту,
изначально предназначенную для администрирования в корпоративных сетях. Троянец
на зараженном компьютере дожидается момента, пока на этом компьютере не
зарегистрируется администратор – во время обслуживания или по какому-нибудь
иному поводу. При наличии в локальной системе пользователя с правами
администратора вирус пытается запустить встроенную утилиту PsExec. Эта утилита
была создана компанией Microsoft для того, чтобы администраторы могли
распространять и запускать проверенное программное обеспечение на удаленных
компьютерах своей сети. Троянец Coreflood использует утилиту PsExec для
распространения собственных копий на всех доступных компьютерах сети.

За последние 16 месяцев по разным оценкам Coreflood заразил более 378 тысяч
компьютеров в коммерческих, медицинских, государственных, образовательных и
других учреждениях – например, 25 июня этого года центр SANS Internet Storm
Center зафиксировал единовременное заражение 600 машин в сети из 3000 ПК. Как
рассказал автор программы PsExec Марк Руссинович из компании Microsoft,
вредоносные программы пытаются использовать технологию PsExec на протяжении уже
более 5 лет. Тем не менее, по его словам, это первый случай, когда PsExec
используется именно таким образом. «PsExec не открывает злоумышленникам никаких
дополнительных возможностей, которые бы они не могли реализовать сами или
добиться другими средствами», - заявил Руссинович в своем интервью. Эксперты
предупреждают – сам троянец Coreflood, также известный под названием AFcore
Trojan, существует в разных вариантах уже почти 6 лет, но до последнего времени
он целенаправленно использовался только для проведения распределенных атак на
отказ в обслуживании.

Оставить мнение